Diferences? well, with gpu, speed cracking for LM was 22.5M/s, but after vm, it increases to 28.6M/s.

One screenshot.

EDRP GPU+cpu

Porque la compatibilidad de Windows 9x permite que en la SAM local (y del directorio activo) se almacenen dos tipos de hash: Hash LM (compatibles con windows 9x) y Hash NTLM.  Las debilidades de LM permite que sea ‘crackeado’ en poco tiempo. (Ver cracking lm vs ntlm).

Puede que en su empresa no tengan ningún equipo 9x, pero Windows 2000, xp y 2003, TIENEN HABILITADOS POR DEFECTO la compatibilidad con windows 9x, y por lo tanto almacenan en la SAM tanto LM como NTLM.

¿Cómo evitar almacenar hashes LM?

Seguir las recomendaciones de microsot en su artículo: http://support.microsoft.com/kb/299656 el cual practicamente dice:

1. En Directiva de grupo, expanda Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y, a continuación, haga clic en Opciones de seguridad.
2. En la lista de directivas disponibles, haga doble clic en Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña.
3. Haga clic en Habilitado y después en Aceptar.

Administrator:500:NO PASSWORD*********************:BA11907555EB9A007913C60E68A392AC:::
Administrator_history_0:500:40D336FD46C2C683982622787A57A44E:02B47C391A43FDEB94C4F02978E70CE3:::
bobama:1111:E2302B9A91361D152C56130078E5BD0C:303FFB9CF918D3AEFA5CAA3E26224237:::
gbush:1114:2A187A88736AC555AE35B8540DA3B0A6:6AF3E51B7C6BC638A5379D3E49F20C69:::
gbush_history_0:1114:D02317BA87EF646FC737F6C0EF02C82F:0E65D0DD29A6719BEA94CA08605BCF10:::

La estructura es así: nombre:grupo:LMhash:NTLMhash

Basicamente, el cifrado de LM es muy malo y si en el hash obtenido se encuentra un hash LM, se deben atacar estos hashes antes de atacar NTLM. ¿Por qué? La respuesta la obtenemos al citar lo descrito en hispasec sobre Mitos y leyendas de claves windows:

“…Uno de los pasos para calcular el hash LM consiste en rellenar de ‘0′ la contraseña hasta llegar a los 14 caracteres (en caso de que sea más corta) y partir el resultado en dos trozos de 7 bytes cada uno (el segundo relleno de esos ‘0′ si es necesario). También convierte a mayúsculas todos los caracteres. Sobre estos dos trozos aplica un algoritmo estándar (DES) para cifrar una cadena arbitraria, conocida y fija (4b47532140232425) y los concatena.”

“…El algoritmo comete una serie de errores imperdonables, incluso para la época en la que fue diseñado. Convertir todo a mayúsculas permite a los programas de fuerza bruta atacar directamente utilizando mayúsculas y reduciendo así el tiempo de cálculo, disminuye considerablemente las combinaciones. Pero lo más grave es que el hecho de partir la contraseña en dos, permite a los programas de fuerza bruta, dividir el trabajo y actuar en paralelo sobre ambos trozos.”

Para los hashes de ejemplo, no es posible atacar LM para el usuario ‘Administrator’, pero si es posible atacarlo para los usuarios ‘bobama’ y ‘gbush’. Por otro lado, el usuario ‘gbush’ tiene guardado el historial de su clave anterior y ya que la clave no es la actual, podría eliminarse de la lista a crackear.

Con mi humilde pc (con GPU), la velocidad de cracking de claves LM es de 22.5M/s y para NTLM es de 56M/s

Resumiendo:

LM Vs. NTLM: First try to crack LM hashes; after it, try to crack NTLM hashes

I made a Benchmark for LM Cracking using my laptop:

Dell XPS M1530
Intel Core 2 Duo T7500 2.2Ghz
4 GB RAM
Windows Vista Ultimate
Hard Disk 120 GB 7200 RPM
Nvidia Gforce 8600M GT 256 MB

I Used:

• John The Ripper (386 and mmx)
• Cain
• Elcomsoft Distributed Password Recovery

BENCHMAR

The objetive was test how many password/seg could be cracked using diferent software.
There are crackers based in cpu and recently in gpu.
For CPU test, I used John the ripper (386 and mmx) and CAIN.
For GPU test, I used Elcomsoft Distributed Password Recovery. Although this software allow more than 1 cliente, I only used my own laptop.

Here we go.

JOHN THE RIPPER 386. Speed: 4 M/s

John the ripper 386 test in core 2 duo 2.2GHZ

JOHN THE RIPPER MMX. Speed: 9.2 M/s

John the ripper mmx test in core 2 duo 2.2 Ghz

CAIN. Speed: ~8 M/s

Cain cracking LM hash in core 2 duo 2.2 Ghz

ELCOMSOFT DISTRIBUTED PASSWORD RECOVERY (GPU). Speed: 22.5 M/s

Elcomsoft Distributed Password Recover with 1 GPU cracking at 22.5 M/s

FULL RESULTS

EDPR (gpu):            22572914 c/s
John mmx (cpu):       9230000 c/s
Cain (cpu):                7969348 c/s
John 386 (cpu):         4043000 c/s

Lm Cracking Benchmark

Juanita Kremer
Paola Calle
Veronica Orozco
Viviana Arroyave
Juan del Mar
Mark Tacher
Surany Arboleda
Valentina Santacoloma

Solo hay que abrir los enlaces de las galerias y cambiar el nombre de las fotos:

http://www.soho.com.co/galerias_new/mod_535/f1.jpg

En ese caso se cambia f1.jpg por f2.jpg, f3.jpg, f4.jpg…. y así sucesivamente

http://www.soho.com.co/galerias_new/mod_535/f1.jpg

….

Por ejemplo, la galeria de fotos de Juanita Kremer es http://www.soho.com.co/galerias_new/mod_534/f1.jpg hasta la foto http://www.soho.com.co/galerias_new/mod_534/f22.jpg

Foto con clave de Juanita Kremer

Suerte.

Obviamente, Soho es una revista que vale la pena disfrutarla en papel y al mismo tiempo, coleccionarla porque sus artículos son buenos y sus fotos son excelentes. Los artículos generalmente tratan sobre política, forma de vida o sexo en Colombia. Hay artículos sobre sexo en el burdel “la piscina” (club nocturno), sexo con dos, sexo con tres…. y muchos más artículos.

En internet se puede encontrar la versión electrónica de la revista y además, las fotografías. Sin embargo, desde las últimas ediciones de la revista, no es posible acceder a determinadas fotografías porque son “CONTENIDO PREMIUM” disponible solo para los suscriptores de la revista.

En la última versión online de Soho se encuentra Surany Arboleda, la hija de la excongresista Rocio Arias, (actualmente envuelta en la parapolítica), quien posa semidesnuda. No todas las fotos pueden verse en la versión electrónica porque el portal solicita una clave de acceso… pero eso se puede saltar.

SALTAR LA PROTECCION DE ACCESO A FOTOS PREMIUM DE SOHO

1. Abrir el portal de soho

Portada de la revista Colombiana Soho

2. Abrir el artículo

Articulo sobre Surany Arboleda, hija de Rocio Arias

3. Abrir la galería. Cuando se pasa el mouse sobre cada foto, en la parte inferior del navegador aparecen varios parámetros. En el caso de la captura a continuación, se estaba pasando encima de la foto 3, aparece “galerias_new/mod_541/f3.jpg”

Galeria de fotos de Suarny Arboleda desnuda en la revista Soho

4. Abrir la foto. Con la información anterior “galerias_new/mod_541/f3.jpg” se crea el url www.soho.com.co/galerias_new/mod_541/f3.jpg y se abre la foto.

Foto directa de Surany Arboleda Desnuda

5. Ver links premium. En la galeria de fotos de la revista Soho, al pasar el mouse encima de las fotos que tienen el simbolo de un candado o fotos premium, solo se ve < ‘img/galeriaDefault.jpg’, ‘7′, ‘541′ >

Enlaces premium de la galeria de Soho donde aparece surany arboleda.

6. Abrir foto premium de Surany Arboleda desnuda en Soho. Con la información < ‘img/galeriaDefault.jpg’, ‘7′, ‘541′ > y la información del link anterior www.soho.com.co/galerias_new/mod_541/f3.jpg solo basta cambiar el nombre de la foto. En este caso, www.soho.com.co/galerias_new/mod_541/f7.jpg

Foto premium de Surany Arboleda desnuda, mostrando sus enormes senos.

Espero que lo disfruten.